El protocolo abandonado Aztec Connect ha sido atacado nuevamente: los hackers han extraído otros $2,2 millones
El protocolo de transacciones privadas Aztec Connect, considerado desde hace tiempo un proyecto "muerto", ha vuelto a ser víctima de atacantes. El 18 de junio, hackers lograron extraer fondos adicionales por valor de aproximadamente 2,2 millones de dólares de sus contratos inteligentes. Este es el segundo golpe al protocolo en la última semana: el primer ataque ocurrió el 14 de junio.
En esta ocasión, el atacante robó 1158 ETH, 150 000 DAI y aproximadamente 0,47 tokens renBTC. El método de ataque repitió en gran medida el anterior, pero se dirigió a un grupo de liquidez diferente y se ejecutó a través de un vector de entrada distinto. La vulnerabilidad clave, como la primera vez, residía en la función escapeHatch, un mecanismo de retiro de emergencia.
Cómo funciona la "escotilla de emergencia" y por qué estaba abierta
La función escapeHatch fue diseñada por los desarrolladores como un canal de respaldo para que los usuarios pudieran retirar sus activos en caso de fallo del sistema principal. Sin embargo, se cometió un error crítico en el código: faltaba una verificación de permisos de acceso. Básicamente, cualquier persona podía invocar esta función y reclamar derechos sobre fondos ajenos falsificando una "prueba" de propiedad de los activos. El contrato confiaba incondicionalmente en estos datos falsos y enviaba los fondos al atacante.
Cabe destacar que los propios desarrolladores ya habían eliminado el mecanismo vulnerable del código principal hace tiempo. Pero el contrato inteligente desplegado en la red aún contenía la versión antigua del módulo de verificación. En esencia, una bomba de tiempo había estado esperando su momento durante años en un código que todos consideraban inactivo.
Por qué fue imposible detener el ataque
La raíz del problema reside en la arquitectura del propio Aztec Connect. Es un producto abandonado que fue dado de baja ya en 2023, cuando el equipo de Aztec Labs se centró en el desarrollo de una nueva red. Tras el cierre del proyecto, los desarrolladores renunciaron a las claves de administración, haciendo que los contratos fueran inmutables. Esto significa que el código quedó congelado para siempre en la red: no se puede actualizar, corregir ni pausar. El equipo simplemente no tiene la capacidad técnica para intervenir y detener el robo.
Es importante subrayar que el incidente no afecta ni al token AZTEC ni a la red activa de Aztec: se trata de un sistema completamente aislado. Sin embargo, este caso demuestra una vez más el peligro oculto del ecosistema DeFi: incluso los contratos inteligentes abandonados siguen siendo un objetivo mientras contengan fondos. Según DeFiLlama, solo en junio de 2026 se robaron aproximadamente 44 millones de dólares como resultado de al menos 12 ataques.
Opinión de experto: El incidente con Aztec Connect es un ejemplo clásico de "deuda heredada" en DeFi. Cuando un proyecto se cierra y los contratos se vuelven inmutables, cualquier vulnerabilidad oculta se convierte en una bomba incontrolable. La comunidad debería considerar estándares de "jubilación" para contratos inteligentes: mecanismos de retiro forzoso de liquidez o destrucción automática de protocolos no utilizados.